ちゃんと知ってる?DoSとDDoSのありがちな勘違い
辻伸弘氏といえば各種メディアへのセキュリティ記事寄稿ほか、昨年末からは個人サイト「(n)inja csirt」などでセキュリティ情報発信に力を入れている。個人サイトはトップレベルドメインが「ninja」というだけでも目を引くが、2016年2月には実際にDDoS攻撃を受けており、その体験記も公表されている。Security Onlineにも登場したことがある。
イベント主催のA10ネットワークスは「Thunder TPS(Threat Protection System)」などDDoS対策製品を提供している。その基調講演に辻氏が(D)DoS攻撃について基本的なところから解説した。
「DoS(Denial of Service)」攻撃はサーバーなどのコンピュータリソースをサービスできない(拒否≒停止)状態にする目的で行うもの。多数のコンピュータを巻き込んで行うと前に「D(Distributed)」がついて「DDoS」となる。政治的な主張や脅迫のための手段として使われる。まずはDoSあるいはDDoSに関する「勘違い」について。
勘違い その1:大量のコンピュータ/通信で攻撃するんでしょ?
1台のコンピュータや1つのIPアドレスのみで攻撃して、サーバーをダウンできるものもある。例えばサーバーOSの脆弱性を突いて攻撃するもの、昨年ならWindowsの脆弱性をついた「MS15-034」(修正プログラム名)があった。あるいは設定の不備をつくもの。例えば「SlowDoS」と呼ばれるものは長時間サーバーに接続したままにする。いずれも1台のコンピューターで攻撃できるタイプだ。
繰り返しになるがサーバーのサービスを停止させる、ダウンさせるDoSは少ないリソースで攻撃するケースもある。大量のコンピュータや通信で攻撃するのは「分散型」を意味する「D」がついたDDoSとなる。
勘違い その2:業種業態を問わず、どれも大きなリスクになりうるんでしょ?
突然通り過ぎる嵐のように「放っておけば過ぎ去る」ものもある。金融機関、メディア、ゲームなどのようにWebサーバーがダウンすると損害が生じるビジネスもあるが、全てがそうとは限らない。
勘違い その3:セキュリティ用のアプライアンスを買えば解決だよね?
アプライアンスはビルの入口で通信を調査する警備員のようなもの。妨害用の通信が大量に発生している時は、正規の通信が阻害されてしまう。大量の客が押し寄せて、常連が店に入れないような状態だ。こういうときは道を広げる、通信の帯域を広げることが必要になる場合もある。アプライアンスだけで解決するとは限らない。
勘違い その4:ターゲットリストに掲載されたら終わりだよね?
ハッカー集団が仲間に攻撃を呼びかけるとき、攻撃対象リストが公開されるときがある。例えばアノニマスがイルカ漁に抗議するとされるオペレーション「#OpKillingBay」ではターゲットリストが公開された。辻氏は「あまり関係ないです」と言う。理由として辻氏は自身の調査結果を示した。被害を受けたサイトのうちターゲットリストに掲載されていたのは69%。リストに掲載されていても攻撃されない場合もあるし、逆もしかり。
辻氏は「普段から対策することが大事です。リストに自分のドメインが掲載されていてもあわてないでください」と諭す。
